Les chercheurs en sécurité ont identifié une tactique propre et efficace pour les campagnes d'hameçonnage pour passer inaperçus : profiter des plateformes de création d'applications sans code, comme Bubble, pour construire et héberger des pages malveillantes qui simulent les portails de connexion Microsoft. Le rapport de la Commission Kaspersky désimplique comment cette méthode exploite la confiance qui génère des domaines légitimes et la complexité du code généré automatiquement.
Bubble est une plate-forme qui vous permet de créer des applications non codées, en s'appuyant sur l'intelligence artificielle pour générer l'interface et la logique. Les applications résultantes sont généralement logées sous le * .bubble. io domaine, un espace jugé légitime par de nombreuses solutions de sécurité du périmètre. Cette légitimité apparente rend les liens inclus dans les e-mails malveillants pas automatiquement marqués comme dangereux, et donc l'utilisateur atteint une page qui semble ne pas soulever de soupçon.
La technique n'est pas basée uniquement sur l'utilisation d'un domaine fiable. Les attaquants créent des applications avec de grands paquets JavaScript et des structures basées sur Shadow DOM qui, en raison de leur complexité et de leur isolement, sont difficiles à analyser manuellement et automatiquement. Ce code scrawl peut masquer les redirections et les fausses formes destinées à capturer les identifiants, et dans certains cas la page de supplantation véritable est présentée après des vérifications telles que celles faites par Cloudflare, ajoutant une couche supplémentaire de légitimité apparente.
Le vrai danger est que toutes les données saisies sur ces pages - l'utilisateur et le mot de passe, et dans certains cas les codes ou confirmations secondaires - se retrouvent entre les mains de criminels. Avec les identifiants Microsoft 365, un attaquant peut accéder au courrier, au calendrier et à d'autres services corporatifs, ouvrant la porte à la fraude financière, à la filtration d'informations sensibles et aux mouvements latéraux au sein du réseau d'une organisation.
En outre, les chercheurs avertissent que cette forme d'évasion a toutes les cartes pour devenir une pièce standard dans les kits d'hameçonnage et les plates-formes de services physiques (PhaaS). Ces services intègrent déjà des techniques telles que le vol de cookies de session, les couches "adversaires dans le milieu" qui tentent de contourner l'authentification de deux facteurs, les restrictions géographiques pour sélectionner les victimes et les astuces anti-analyse. En ajoutant la capacité de cacher des pages malveillantes dans une infrastructure légitime, l'efficacité et la portée des campagnes augmentent.
Dans ce contexte, tout n'est pas perdu : la prévention et la sensibilisation restent des outils puissants. Confirmez l'URL réelle avant d'entrer des identifiants, des liens de méfiance qui arrivent par courrier même s'ils pointent vers des domaines connus, et utilisez des méthodes d'authentification plus robustes comme clés de sécurité ou Passkeys réduisent l'impact de ce type de fraude. Pour les organisations, activer et synchroniser des mécanismes de protection sur des plateformes telles que Microsoft 365 - y compris des solutions anti-phishing et des contrôles d'accès conditionnel - est un obstacle supplémentaire recommandé par les fabricants.
Si vous voulez approfondir le fonctionnement de ces campagnes et quelles mesures les agences de sécurité recommandent, les rapports et les guides de Kaspersky sont un bon point de départ ( voir analyse) et les autorités telles que CISA ou Royaume Uni CNSC maintenir des recommandations pratiques pour détecter et signaler le phishing. Microsoft publie également des guides pour protéger les environnements Microsoft 365 et mettre en place des défenses anti-phishing dans leur documentation technique.
Parallèlement, les gestionnaires de plateformes non codées ont un défi important à relever : équilibrer l'expérience de la création et du déploiement rapide avec des contrôles d'abus plus stricts. Certains moyens, comme Calculateur ils ont essayé d'obtenir la version de ces résultats de Bubble, ce qui souligne la nécessité d'une réponse coordonnée entre les fournisseurs, les communautés de sécurité et les utilisateurs afin que la flexibilité offerte par ces outils ne devienne pas un moyen facile de fraude.
Au quotidien, la meilleure défense reste la prudence : regarder critiquement les courriels inattendus, valider les liens avant d'interagir, activer des niveaux de vérification plus élevés et recourir aux canaux officiels quand quelque chose ne va pas. La technique peut changer, mais la routine de vérification avant de faire confiance demeure l'un des obstacles les plus efficaces au vol de titres de compétence.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...